Jingle Thief
A Unit42 Jingle Thief elemzése egy célzott, felhőalapú ajándékkártya-csalássorozatot tár fel, amelyet állítólag Marokkóban működő, anyagi haszonszerzésre törekvő bűnözők hajtottak végre, és amelyben a támadók szisztematikusan a Microsoft 365-felhő szolgáltatásait használják ki jogosulatlan kártyakiállításra és gyors pénzre váltható kódok tömeges előállítására.
A kampány lényege, hogy a támadók nem klasszikus malware-rel törnek be, hanem személyes adathalászattal lopnak bejelentkezési adatokat, majd a megszerzett fiókokon belül lassan felderítik a SharePoint/OneDrive-okat, belső folyamatokat és ajándékkártya-kiadási munkafolyamatokat. A célzott felderítés és a belső e-mailek folyamatos figyelése lehetővé teszi számukra, hogy pontosan megtalálják azokat az adminisztratív lépéseket, amelyekkel értékes, gyorsan értékesíthető kódokat bocsáthatnak ki.
A támadók egyes esetekben hónapokig, akár egy évig is fenntartották a hozzáférést, miközben belső phishinget indítottak a kompromittált fiókokból, mailbox-szabályokat állítottak be automatikus továbbításra, és a küldött üzeneteket, válaszokat azonnal áthelyezték vagy törölték, hogy elrejtsék tevékenységüket. Különösen veszélyes technika volt a Microsoft Entra ID önkiszolgáló eszközregisztrációs folyamataival való visszaélés: az ellopott fiókokhoz rogue hitelesítő alkalmazásokat regisztráltak vagy támadó-tulajdonú eszközöket írtak be, így a jelszó megváltoztatása vagy a session bevonása után is fenntarthatták az illetéktelen hozzáférést. Ez a módszer hatékonyan csökkenti az MFA-val kapcsolatos védelem hatékonyságát, ha az eszközregisztráció nincs szigorúan korlátozva és auditálva.
A Jingle Thief során a támadók műveleteiket az évszakhoz és kiskereskedelmi ciklusokhoz igazítják, ünnepi időszakokban, amikor a kártyák iránti kereslet megnő és a belső személyzet leterheltebb, intenzívebb hullámokat indítanak. A monetizáció gyors és nehezen visszakövethető: a kártyákat szürke piaci fórumokon adják-veszik, vagy rövid időre kölcsönadják pénzfolyosításra, ami megnehezíti a nyomozást és a károk visszaszerzését.
